关于新型NGate安卓恶意软件利用NFC芯片窃取信用卡数据的分析

　　NGate，据网络安全公司ESET报告，该恶意软件首次被观察到的时间为2023年11月，而首次使用记录则是在2024年3月。

　　NGate恶意软件能够利用Android设备的NFC(近场通信)功能，窃取受害者支付卡上的NFC数据，并将这些信息传输给攻击者控制的设备。

　　一、基本内容

　　NGate新型安卓恶意软件被发现能够通过设备的近场通信(NFC)芯片窃取支付卡数据，从而使攻击者能够进行未授权支付或从ATM提取现金。该恶意软件自2023年11月起开始活动，最初通过伪装成银行紧急安全更新的PWA和WebAPK应用诱导受害者下载安装。NGate利用开源工具NFCGate捕获并中继NFC支付卡的数据，使攻击者能够将受害者的卡模拟为虚拟卡进行支付或提现。受害者在输入卡片PIN码时，该敏感信息也会被恶意软件收集。为了防止这种攻击，用户应禁用设备的NFC功能，或谨慎管理应用权限，仅从官方渠道安装银行应用程序。

　　二、分析研判

　　攻击准备：

　　钓鱼网站与恶意软件下载：攻击者首先建立钓鱼网站，并在其中设置伪装成银行客户端的NGate恶意软件下载地址。这些网站通常会模仿合法银行网站或Google Play商店的界面，以迷惑受害者。或者通过发送钓鱼信息(如短信、邮件等)，诱导受害者点击链接并下载NGate恶意软件。

　　攻击执行：一旦恶意软件在受害者的设备上安装并执行，它会要求受害者提供银行信息(如客户ID、出生日期、银行卡PIN码等)和激活NFC功能。

　　资金盗取：攻击者利用窃取的NFC数据克隆支付卡，并从ATM机上提取现金，受害者就会面临银行卡被盗刷、资金被窃取等直接经济损失。

　　三、应对策略

　　1、对来自未知来源的链接和下载请求保持高度警惕，避免点击或下载可疑内容。

　　2、仅从官方应用商店下载应用程序，避免从第三方网站或链接下载未知软件。

　　3、在不需要使用NFC功能时，及时关闭该功能以降低被攻击的风险。

　　4、提高对网络钓鱼攻击的认识和识别能力，避免在钓鱼网站上输入敏感信息。